Vylepšené prostředí pro správu zabezpečení

Architektura ESAE (Enhanced Security Admin Environment) (často označovaná jako červená lesová struktura, doménová struktura správce nebo zpevněná lesová struktura) je přístup k zajištění zabezpečeného prostředí pro správce Windows Server Active Directory (AD).

Doporučení Microsoftu používat tento architektonický vzor nahradila moderní strategie privilegovaného přístupu a pokyny k plánu rychlé modernizace (RAMP) jako výchozí doporučený přístup k zabezpečení privilegovaných uživatelů. Model vytvrzené administrativní doménové struktury ESAE (na počítači nebo v cloudu) se teď považuje za vlastní konfiguraci, která je vhodná jenom pro případy výjimek uvedené níže.

Co když už mám ESAE?

Pro zákazníky, kteří už tuto architekturu nasadili, aby zvýšili zabezpečení nebo zjednodušili správu více doménových domén, není nutné vyřadit nebo nahradit implementaci ESAE, pokud je provozovaná tak, jak je navržená a zamýšlená. Stejně jako u všech podnikových systémů byste měli software v ní udržovat tak, že použijete aktualizace zabezpečení a zajistíte, aby software byl v rámci životního cyklu podpory.

Společnost Microsoft také doporučuje organizacím s doménovými strukturami ESAE /hardened lesy přijmout moderní strategii privilegovaného přístupu pomocí pokynů pro plán rychlé modernizace (RAMP). Tato funkce doplňuje stávající implementaci ESAE a zajišťuje odpovídající zabezpečení rolí, které ještě nejsou chráněné esae, včetně globálních správců Azure AD, citlivých firemních uživatelů a standardních podnikových uživatelů. Další informace najdete v článku Zabezpečení úrovní zabezpečení privilegovaného přístupu.

Proč změnit doporučení?

Když byla esae původně navržená před 10 lety, fokus byl v místním prostředí s ad jako místním poskytovatelem identity. Implementace ESAE /hardenened forest se zaměřují na ochranu Windows Server Active Directory správců.

Microsoft doporučuje nová cloudová řešení, protože je můžete nasadit rychleji, aby byla chráněna širší oblast administrativních a obchodních rolí a systémů.

Strategie privilegovaného přístupu poskytuje ochranu a monitorování mnohem větší sadě citlivých uživatelů a zároveň poskytuje přírůstkové kroky s nižšími náklady k rychlému vytvoření zajištění zabezpečení.

Implementace vytvrzených lesů ESAE je sice stále platná pro konkrétní případy použití, ale jejich používání je nákladnější a obtížnější a vyžaduje vyšší provozní podporu ve srovnání s novějším cloudovým řešením (vzhledem ke složité povaze této architektury). Implementace ESAE jsou navržené tak, aby chránily jenom Windows Server Active Directory správce. Cloudová strategie privilegovaného přístupu poskytuje ochranu a monitorování pro mnohem větší sadu citlivých uživatelů a zároveň poskytuje přírůstkové kroky s nižšími náklady k rychlému vytvoření zajištění zabezpečení.

Jaké jsou platné případy použití ESAE?

Tento architektonický vzor sice není hlavním doporučením, ale platí v omezené sadě scénářů.

V těchto výjimečných případech musí organizace přijmout zvýšenou technickou složitost a provozní náklady řešení. Organizace musí mít propracovaný bezpečnostní program, který bude měřit rizika, monitorovat rizika a uplatňovat konzistentní provozní přísnost při používání a údržbě implementace ESAE.

Příklady scénářů:

• Izolovaná místní prostředí – kde nejsou k dispozici cloudové služby, jako jsou offline výzkumné laboratoře, kritická infrastruktura nebo utility, odpojená prostředí provozních technologií(OT), jako je řízení dohledu a získávání dat (SCADA) / Průmyslové řídicí systémy (ICS) a zákazníci veřejného sektoru, kteří jsou plně reliantní na místních technologiích.
• Vysoce regulovaná prostředí – průmyslová nebo vládní nařízení vyžadovat specificky konfiguraci administrativní doménové struktury.
• Zajištění zabezpečení na vysoké úrovni je nařízeno – organizace s nízkou tolerancí vůči rizikům, které jsou ochotné přijmout vyšší složitost a provozní náklady řešení.

Další kroky

Prohlédněte si strategii privilegovaného přístupu a pokyny k plánu rychlé modernizace (RAMP) pro poskytování zabezpečených prostředí pro privilegované uživatele.